Docker 概述
Docker 是一个开发、发布和运行应用程序的开放平台。Docker使您能够将应用程序与基础架构分离,以便快速交付软件。有了 Docker,你可以像管理应用程序一样管理你的基础设施。通过利用 Docker 快速发布、测试和部署代码的方法,您可以显著减少编写代码和在生产环境中运行它之间的延迟。
Docker 平台
Docker 提供了在松散隔离的环境(称为容器)中打包和运行应用程序的能力。隔离和安全性允许您在给定的主机上同时运行多个容器。容器是轻量级的,因为它们不需要额外的hypervisor负载,而是直接在主机的内核中运行。这意味着您可以在给定的硬件组合上运行比使用虚拟机时更多的容器。你甚至可以在实际是虚拟机的主机中运行 Docker 容器!
Docker 提供了工具和平台来管理容器的生命周期:
- 使用容器开发应用程序及其支持组件。
- 容器成为分发和测试应用程序的单元。
- 准备就绪后,将应用程序作为容器或编排好的服务部署到生产环境中。无论您的生产环境是本地数据中心、云提供商还是两者的混合,操作都是一样的。
Docker 引擎
Docker 引擎是一个 客户端-服务器 应用程序,具有以下主要组件:
- 一个服务器,它是一种称为守护进程(
dockerd
命令)的长时间运行程序。 - 一个 REST API,它指定程序可以用来与守护进程对话并指示它做什么的接口。
- 一个命令行界面(CLI)客户端(
docker
命令)。
CLI使用Docker REST API通过脚本或直接CLI命令控制Docker守护进程或与之交互。 许多其他Docker应用程序使用底层API和CLI。
这个守护进程创建和管理 Docker 对象,如镜像、容器、网络和卷(images, containers, networks, and volumes)。
注意: Docker使用的是开源 Apache 2.0 许可证。
有关更多细节,请参阅下面的 Docker 架构。
我可以用 Docker 做什么?
快速、一致地交付应用程序
Docker 允许开发人员使用提供应用程序和服务的本地容器,在标准化的环境中工作,从而简化了开发生命周期。容器对于持续集成和持续交付(CI/CD)工作流非常有用。
考虑以下示例场景:
- 开发人员在本地编写代码,并使用 Docker 容器与同事共享他们的工作。
- 他们使用 Docker 将应用程序推送到测试环境,并执行自动和手动测试。
- 当开发人员发现 bug 时,他们可以在开发环境中修复它们,并将它们重新部署到测试环境中进行测试和验证。
- 当测试完成时,向客户提供修复就像将更新后的镜像推送到生产环境一样简单。
响应式部署和扩展
Docker 的基于容器的平台允许高度可移植的工作负载。Docker 容器可以运行在开发人员的本地笔记本电脑上、数据中心的物理或虚拟机上、云提供商上或在混合的环境中。
Docker 的可移植性和轻量级性质也使得它可以很容易地动态管理工作负载,根据业务需要,在接近实时的情况下扩展或拆除应用程序和服务。
在相同硬件上运行更多工作负载
Docker 是轻量级和快速的。它为基于管理程序的虚拟机提供了一种可行的、经济有效的替代方案,因此您可以使用更多的计算能力来实现业务目标。Docker 非常适合高密度环境和中小型部署,在这些环境中,您需要用更少的资源做更多的事情。
Docker 架构
Docker 使用客户端-服务器架构。Docker 客户端与 Docker 守护进程通信,后者负责构建、运行和分发Docker 容器等繁重的工作。Docker 客户端和守护进程可以运行在同一个系统上,或者您可以将一个 Docker 客户端连接到一个远程 Docker 守护进程。Docker 客户端和守护进程通过 UNIX 套接字或网络接口使用 REST API 进行通信。
Docker 守护进程
Docker 守护进程(dockerd
)侦听 Docker API 请求并管理 Docker 对象,如镜像、容器、网络和卷。
守护进程还可以与其他守护进程通信来管理 Docker 服务。
Docker 客户端
Docker 客户端(docker
)是许多 Docker 用户与 Docker 交互的主要方式。当您使用诸如docker run
之类的命令时,客户端将这些命令发送给dockerd
, dockerd
会执行这些命令。docker
命令使用 Docker API。Docker 客户端可以与多个守护进程通信。
Docker 注册表
Docker 注册表存储 Docker 镜像。 Docker Hub 是一个任何人都可以使用的公共注册表,默认情况下 Docker 被配置为在 Docker Hub 上寻找镜像。您甚至可以运行自己的私有注册表。如果您使用 Docker 数据中心(DDC),它包括 Docker 可信注册表(DTR)。
当您使用 docker pull
或 docker run
命令时,所需的镜像将从配置的注册表中拉取。当您使用 docker push
命令时,您的镜像将被推送到您配置的注册表中。
Docker 对象
当您使用 Docker 时,您正在创建和使用镜像、容器、网络、卷、插件和其他对象。本节简要介绍其中一些对象。
镜像(IMAGES)
镜像是一个只读模板,带有创建 Docker 容器的指令。镜像通常基于另一个镜像,并进行一些额外的定制。例如,您可以构建基于 ubuntu 镜像的镜像,但是安装了 Apache web server 和您的应用程序,以及运行应用程序所需的配置细节。
您可以创建自己的镜像,也可以只使用其他人创建并发布在注册表中的镜像。要构建自己的镜像,需要创建一个 Dockerfile,其中包含一个简单的语法,用于定义创建镜像并运行它所需的步骤。Dockerfile 中的每条指令都会在镜像中创建一个层。当你改变 Dockerfile 并重建镜像时,只有那些已经改变的层才会重建。这是使镜像与其他虚拟化技术相比如此轻量级、小巧和快速的原因之一。
容器(CONTAINERS)
容器是镜像的可运行实例。您可以使用 Docker API 或 CLI 创建、启动、停止、移动或删除容器。您可以将一个容器连接到一个或多个网络,将存储附加到该容器,甚至基于其当前状态创建一个新镜像。
默认情况下,容器与其他容器及其主机相对隔离良好。您可以控制容器的网络、存储或其他底层子系统与其他容器或主机的隔离程度。
容器是由它的镜像以及创建或启动它时提供给它的任何配置选项定义的。当删除容器时,对其状态的任何未存储在持久存储中的更改都会消失。
docker run
命令示例
下面的命令运行一个 ubuntu
容器,以交互方式连接到本地命令行会话,并运行 /bin/bash
。
$ docker run -i -t ubuntu /bin/bash
当你运行这个命令时,会发生以下情况(假设你使用默认的注册表配置):
- 如果你没有本地的
ubuntu
镜像,Docker会从你配置的注册表中拉取它,就像你已经手动运行docker pull ubuntu
一样。 - Docker 创建一个新的容器,就像手动运行
docker container create
命令一样。 - Docker 为容器分配一个读写文件系统,作为容器的最后一层。这允许运行中的容器在其本地文件系统中创建或修改文件和目录。
- Docker 创建一个网络接口,将容器连接到默认网络,因为您没有指定任何网络选项。这包括为容器分配IP地址。默认情况下,容器可以使用主机的网络连接连接到外部网络。
- Docker 启动容器并执行
/bin/bash
。由于容器以交互方式运行并连接到你的终端(由于有-i
和-t
标志),所以可以将输出记录到终端,同时你可以使用键盘提供输入。 - 当您键入
exit
终止/bin/bash
命令时,容器将停止,但不会被删除。您可以重新启动或删除它。
服务(SERVICES)
服务允许您跨多个 Docker 守护进程扩展容器,这些守护进程组成一个集群,多个管理者和工作者一起工作。一个集群的每个成员都是一个 Docker 守护进程,所有的守护进程都使用 Docker API 进行通信。服务允许您定义所需的状态,例如在任何给定时间必须可用的服务副本的数量。默认情况下,服务在所有工作节点之间进行负载均衡。对于消费者来说,Docker 服务看起来像一个单独的应用程序。Docker 引擎在 Docker 1.12 及更高的版本支持集群模式。
底层技术
Docker 是用 Go 编写的,并利用 Linux 内核的几个特性来实现其功能。
命名空间
Docker 使用名为命名空间的技术来提供称为容器的隔离工作区。当您运行一个容器时,Docker 为该容器创建一组命名空间。
这些命名空间提供了一个隔离层。容器的每个方面都在一个单独的命名空间中运行,其访问权限仅限于该命名空间。
Docker 引擎在 Linux 上使用如下命名空间:
pid
命名空间: 进程隔离 (PID: 进程ID)。net
命名空间: 管理网络接口 (NET: Networking)。ipc
命名空间: 管理对 IPC 资源的访问 (IPC: 进程间通信)。mnt
命名空间: 管理文件系统挂载点 (MNT: Mount)。uts
命名空间: 隔离内核标识符和版本标识符 (UTS: Unix分时系统)。
控制组
Linux 上的 Docker 引擎还依赖于另一种称为控制组(cgroups)的技术。cgroup 将应用程序限制为特定的资源集。控制组允许 Docker 引擎将可用的硬件资源共享给容器,并可以选择强制限制和约束。例如,可以限制特定容器的可用内存。
联合文件系统
联合文件系统,或 UnionFS,是通过创建层来操作的文件系统,使其非常轻便和快速。Docker 引擎使用 UnionFS 为容器提供构建块。Docker 引擎可以使用多种 UnionFS 变体,包括 AUFS、btrfs、vfs 和 DeviceMapper。
容器格式
Docker 引擎将命名空间、控制组和 UnionFS 组合到一个称为容器格式的包装器中。默认的容器格式是 libcontainer
。未来,Docker 可能会通过与 BSD Jails 或 Solaris Zones 等技术集成来支持其他容器格式。